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BSA| The Software Alliance! (BSA | ザ ・/ ツ フト ウェ ア ・ ア ライ アン ス 、 以下 、 「BSA」) は 、 内 闘 サ 
イ バ ー セ キュ リティ セン ター、 経済 産業 省 、 総務 省 、 お よび 、 デ ジタル 庁 (以下 、「 関 係 省庁 」) 
が 政府 全体 に お ける クラ ウド サー ビス の 導入 を 拡大 し 、 公 的 部 門 に お いて 採用 され る 可能 性 
が ある クラ ウド サー ビス の 安全 性 を 評価 する 「 政 府 情報 シス テム の た め の セ キュ リティ 評価 制 
度 」( 以 下 、 「ISMAP」) の 改善 に 向け て 取り 組ん で いる こと を 高く 評価 し ます 。 















































総論 


BSA は 、 政 府 や グロ ー バ ル 市 場 に お いて 、 世界 の ソフ トウ ェ ア 産 業 を 代表 する 主唱 者 で す 。 
BSA の 会 員 企業 は 、 最 先端 の クラ ウド コン ピュ ー テ ィング 技術 お よび サー ビス 提供 で 世界 を 
牽引 し て お り 、 各国 政府 が 、 ネッ トワ ー ク セキ ュ リ ティ や シス テム の 可用性 を 高め な が ら 、 そ の 
俊敏 性 、 生 産 性 、 お よび 革新 性 を 向上 する こと を 支援 し て いま す 。 その 経験 に 基づき 、 以 下 
の 提言 を 述べ させ て 頂く こと で 、 ク ラウ ドサ ービス の 円 滑 な 導入 と いう 政府 の 目標 の 実現 に 貢 
献 し た いと 考え て お り ま す 。 
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現行 の 制度 は 、ISMAP クラ ウド サー ビス リス ト へ の 登録 を 希望 する クラ ウド サー ビス プロ バイ ダ 
ー(CSP) に 、 多大 な コン プラ イア ンス 負荷 と 法 外 な 費用 を 課す と 同時 に 、 制 度 の 実施 に お い 
て 、 政府 側 の 限り ある 人 的 資源 も 圧迫 する こと か ら 、 今後 の 具体 的 な 検討 に あたっ て は 、 以 下 
の 点 を 考慮 に 入れ て 頂く こと を 我々 は 強く 推奨 し ます 。 
































1BSA の 活動 に は 、Adobe, Altium, Amazon Web Services, Atlassian, Autodesk, Aveva, Bentley Systems, Box, Cisco, 
CNC/Mastercam, Dassault, DocuSign, IBM, Informatica, Intel, MathWorks, Microsoft。 Nikon, Okta, Oracle, PTC, Rockwell 
Salesforce, ServiceNow, Siemens Industry Software Inc., Splunk, Synopsys, Trend Micro, Trimble Solutions Corporation, Twilio, 
Workday, Zendesk, Zoom が 会 員 企 業 と し て 参加 し て いま す 。 詳 しく は ウェ ブサ イト (http://bsa.or.jp) を ご 覧 くだ さい 。 
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。 クラ ウド サー ビス の 貢 任 共有 モデ ル “を 認識 する こと 。 安全 な クラ ウド 導入 を 成功 させ る 
訓練 し 、 ク ラウ ド 環 境 で 安全 な アデ アプリケー ショ 

ン を 開発 し 、 必要 に 応じ て CSP が 提供 する ツー ル や や 対策 を 自ら の 責任 で 利用 し 、 セキ 
ュ リ ティ ・ リ スク を 最小 限 に 抑え る こと が 求め られ て いる 、 と いう こと を 理解 する こと が 重要 











に は 、 ク ラッ ド 利 用 者 や 調達 者 が 職員 を 















































で す 。 ISMAP に 責任 共有 の 原則 を 明 






































管理 を する た め の 管 理 基準 の 策定 と 維持 











































































































に に 盛り込む こと に より 、 クラ ウド サー ビス の リス ク 














に お いて 、 CSP と 顧客 と の 間 と の クラ ウド 運 
用 に 関し て の 異な る 責任 が 認識 され る よう (に な り ま す 。 また 、 自ら が 管理 し 、 責任 を 負う 









































環境 の 側面 に お いて 、 可視 性 の 無い 環境 以外 に お いて 、 ど の 当事者 が 説明 責任 を 負 

う の か を 明確 に する こと が で きま す 。 これ に より 、 アク セス 権 を 持た な い 顧 客 デ ゲー タ や シ 

ステ ム に 対し て 、 セキ ュ リ ティ 要件 や 義務 を CSP に 課す と いう こと が 回 避 さ れ 、 不 適切 
な 義務 を 課せ られ た 場合 に 、 結果 的 に セキ ュ リ ティ や プラ イバシー に 逆 効果 と な る 事 

















態 を 避け る こと が で きま す 。 





























s ISMAP を より 和 柔軟 に 、 実施 し や すく する こと 。 様々 な クラ ウド サー ビス の モデ ル (SaaS、 

IasS、 PaaS) の 特徴 的 な 要件 を 考慮 し 、 ER また 、 導入 され た 環境 や 組 
適 化 され た 必須 の セキ ュ リ ティ 基準 を 定義 
する こと に より 、 現行 の ISMAP を 改善 する こ - と が で きま す 。 














織 に 最も 関連 する リス ク を 管理 する た め に 最 











・ 反復 的 な 監査 手続 を 削減 する こと 。 既 ( 















































こ 取 得 済み の 国際 規格 と 重複 する 管理 基準 の 



































適用 を 免除 する こと で 、 監査 手続 を 簡素 1 
"させ る こと が 可能 と な り ま す 。 多く の CSP は 、 国 





ヒ し 、 人 的 資源 を 特定 の 限定 的 な 基準 に 集 





際 規 格 (SMS-JISQ/ISO 27000 シリ ー ズ ) の 認 














め 、 過 去 の 認証 手続 き で 提供 され た 証 
する こと で 、 政府 関係 者 を 含む 、 全て の ステ ー ク オメ 
ます 。 また 、 こ れ に より 、 日 本 で ISMS/ISO 店 






































跡 の 











} 利 

































































際 的 に 認定 され た 認証 機関 か ら 国 
を 既に 取得 し て いま す 。 それ ら を 認 
用 と いう 反復 的 な 手順 と 要件 を 排除 

















ドル ダー の 負担 を 軽減 する こと が で き 





me 丸 証 を 取得 する 企業 が 増え 、 その よう な 企 








業 に 国際 的 な ど ビジ ネス ・ チ ャ ンス が 広がり 、 政府 に 対し て 、 よ り 費 用 対 効果 の 高い ツリ ュ 
ーション を 提供 する た め の 競 争 が 激化 する こと に も な り ま す 。 














・ 第 三 者 機関 に よる 国際 的 に 認定 され た 認証 お よび 監査 結果 を 認め る こと 。 ISMAP の 
関連 する 管理 基準 お よび 要件 に 準拠 し て いる 証拠 の 重複 を 削除 する こと に で 、 非 実 
用 的 で 反復 的 な 現地 監査 の 必要 性 も 減ら すこ と が で きま す 。 現地 監査 は 、 本 目的 以 
外 で は 権限 を 持た な い 者 に よる 現場 へ の アク セス を 要する た め 、 デー タ セ ンタ ー を 不 






























































必要 な 物理 的 セキ ュ リ ティ リス ク に さら すこ と ( 






































こ な り ます 。 





* 具体 的 な 監査 ガイ ドラ イン を 策定 し 、 そ れ ら を 国際 的 に 認定 され た 標準 に 合 




















章介 ISMAP の 制度 運営 者 、 監査 人 、 お よび CSP 間 の 管理 eu 














の 不一致 は 、CSP に 非 効率 な 手間 、 追 加 費 用 、 
ます 。 ISMAP 制度 運営 者 と 監査 人 に よる 管 正 
は 、 監査 終了 後に 、CSP へ ISMAP 制度 運営 


























あり ます 。 












































お よび 手続 き の 人 遅延 を 課す こと に な り 
BE 基準 の 解釈 の 違い に より 、 場合 に よっ て 
































か ら 再 監査 依頼 が 繰り 返さ れる こと が 





* https://cloudsecurityalliance.org/blog/2020/08/26/shared-responsibility-model-explained/ 
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ISMAP に 登録 する 監査 法人 の 数 を 増やす こと 。 登録 され て いる 生 
れ て いる た め 、ISMAP で 要求 され る 監査 手続 を 満た す た め の 、 














監査 法人 の 数 が 限ら 
現在 また 将来 的 な 人 





























は 








3 





的 資源 が 不足 し て いま す 。 登録 監査 法人 の 数 を 現在 の 4 法人 か ら 増 や すこ と で 、 人 材 

















不足 が 解消 され 、 監査 法人 間 の 公正 な 
を 提供 し a の 0 
に する た め に は 、 ク ラウ ドサ ービス の IT 


発し 、 a が 

















の 要件 と は 対照 的 に 、 国際 的 な クラ ウド ・ 
的 に 三 年 に 一 度 の 監査 を 求め て いま 
方 に と っ て 不要 な コス ト を 削減 する こと カ 


連続 し た 監査 手続 を 実施 する こと に な り 、 
























































革 
リティ 担当 者 の 注 
達 省庁 側 
Ee 
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[= 








と 。 現在 、ISMAP 代 
半期 ご と 

の 遅れ が 生じ る 可能 属 
する こと を 妨げ 、 企業 に は 事業 機会 を 、 
上 恵 を 与え な いこ と に な り ま す 。 


は 急速 に 進 





| 度 運 









































上 記 の 提言 は 、 政 























ドサ ービス の 安全 性 の 可視 化 の 取 
ティ が 確保 され た クラ ワウ ドサ 


提供 され て いる も の も 多い こと か ら 、 グ ロー バル 








さ 
さき 























図る こと が で きま す 。 また 、1ISMAP を 持続 可能 な 1 


頻度 を 減ら し た 監査 スケジュ ー ル を 設定 する こと 。 毎 有 


ます 。 


意 を 不 必要 に そら し 、 他 の 
に と っ て も 、 毎 年 度 の 契約 更新 が 求め られ る こと か ら 、 


年 間 を 通し て 継続 的 に 
化す る クラ ウド の 技術 を より 迅速 


府 の サイ バー セキ ュ リ ティ 戦略 と も 合致 し て いき 
「 国 は 、 政府 情報 シス テム の た め の セ キュ リティ 評価 制度 (ISMAP) 等 
上 を 政府 機関 等 か ら 民 間 に も 広く 展開 し 、 一 
ービス の 利用 拡大 を 促進 する 。 クラ ウド サー ビス は 外国 企業 に より 


























競争 を 促進 する こと で 、 CSP に 多様 な 選択 肢 
凡 度 
要員 を 育成 する た め の 手 続き を 開 








ィ 一 


監査 語 me 設計 








肛 要 で す 。 





藍 査 を 実施 する と いう ISMAP 
セキ ュ リ ティ の ベス ト ・ プ ラク ティ ス で は 、 一 般 

監査 の 頻度 を 減ら すこ と で 、 CSP と 政府 の 双 
* で きま す 。 毎年 の 監査 で は 、CSP は 事実 上 、 

常時 、 監査 対応 に 追わ れる こと と な り 、 セキ ュ 
必要 な 人材 も 流用 する こと と な り ま す 。 調 
員 荷 が 増す こと と な り 


a 



















































































申請 ・ 登 録 の 受付 を 、 四半 期 ご と で は な く 、 年 間 を 通じ て 行う こと が で きる よう に する こ 
者 は 、ISMAP 認証 ・ 合 録 を 希望 する 企業 か ら の 申請 を 四 
に 受け 付け て いる た め 、ISMAP 登録 を 目 
E が あり ます 。 この よう な 遅 





指す CSP に と っ て は 、 三 ヶ月 以上 
、 企業 が 貴重 な 調達 機会 に 入札 
RS 
・ 登 録 を 行う こと で 、ISMAP 

すず % 


E 延 は 
機関 に 











達 








調 


























oo と が で き 3 


E す 。 同 戦略 に お いて は 
を の 取組 を 活用 し た クラ ウ 
定 の セキ ュ リ 























携 も 進め る 」 と 





な 連 記さ れ て お り 、 上 記 の 














ISMAP の 改善 を 優先 し 、 国 
セキ ュ リ ティ が 保証 され た クラ ウド サー ビス が ? 








結論 


上 記 の 改善 を 実現 する た め に 、 ま た 、 政府 調達 


フウ ドナ ー ビ i さら な る 価値 を 4 


際 的 な セキ ュ リ ティ 認 証 へ の 誰 識 を 高め る こと は 
普及 する こと に つなが り ま す 。 


、 日 本 に お いて 、 

















こ お RA 民間 が 提供 する ク 
E み 出す た め に 、 グ ロー バル に 事業 を 展 





> 選 


ka 























開 す る BSA 会 員 企 業 が どの よう に 関係 省庁 と 周 


E 携 し て いけ る か mt 占 し 合い が で 
































きる こと を 期待 し て いま す 。 





https://www.misc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf 
^ 「 サ イ バ ー セ キュ リティ 戦略 」 ( 令 和 3 年 9 月 28 日 ) 、4.2.1 
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(2) 新た な サイ バー セキ ュ リ ティ の 担い 手 





の 協調 、 p21 


entative Office 
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